Il quadro europeo dei servizi di pagamento sta attraversando la revisione più significativa dai tempi della PSD2. A seguito dell’accordo politico del novembre 2025, PSD3 e il Regolamento sui Servizi di Pagamento (PSR) sono ora nella fase legislativa finale. L’adozione formale e l’entrata in vigore sono previste entro la metà del 2026. Il PSR, in quanto regolamento direttamente applicabile, non richiederà recepimento nazionale e darà avvio alla prima fase di applicazione, che coprirà SCA, responsabilità per frodi e obblighi di open banking, tra la fine del 2026 e l’inizio del 2027.
In Namirial, vediamo PSD3/PSR come uno degli esempi più chiari di quanto abbiamo descritto nelle nostre previsioni per il 2026: pagamenti, identità digitale e Strong Customer Authentication stanno convergendo in un’unica infrastruttura di fiducia. I quadri normativi non sono più percorsi paralleli. PSD3/PSR, AMLR ed eIDAS 2.0 stanno convergendo attorno a un’architettura condivisa per la verifica dell’identità, l’autenticazione e l’autorizzazione delle transazioni. Le organizzazioni che costruiscono oggi per questa convergenza avranno domani un vantaggio strutturale in termini di compliance.
Questo articolo spiega cosa significano PSD3 e PSR in pratica per l’autenticazione, le firme digitali e l’infrastruttura di identità, come evolve il framework SCA sotto il PSR, come l’EUDI Wallet e la Firma Elettronica Qualificata diventano strumenti di Strong Customer Authentication di primo livello e come la piattaforma Namirial risponde a tutti questi requisiti.
Perché la PSD2 necessitava di un aggiornamento: il gap nell’autenticazione
La PSD2 ha portato progressi concreti: ha introdotto la SCA, creato la base legale per l’open banking e ridotto i tassi di frode sulle carte. Tuttavia, la sua implementazione pratica ha evidenziato debolezze strutturali persistenti che PSD3 e PSR affrontano direttamente.
Il fallimento più critico è stato la qualità della SCA. L’invio di OTP via SMS si è dimostrato altamente vulnerabile al phishing: attacchi SIM-swap, social engineering e malware mobile hanno reso la SCA basata su SMS una difesa debole contro le frodi industrializzate del panorama attuale. Nel frattempo, le API di open banking sono state implementate in modo incoerente tra gli Stati membri, la responsabilità per le frodi Authorized Push Payment (APP) è rimasta poco chiara e l’autenticazione delegata non aveva alcun quadro normativo.
PSD3 e PSR rappresentano una risposta mirata a queste criticità. I principali cambiamenti:
- SCA più ampia e più forte: copre login, configurazione dei mandati, gestione dei beneficiari, recupero dispositivo e tutte le azioni ad alto rischio.
- Responsabilità per frodi ampliata: i PSP sono responsabili per i fallimenti della SCA, anche quando l’autenticazione è delegata a terze parti.
- Verifica obbligatoria del beneficiario (VoP): corrispondenza IBAN/nome richiesta prima di ogni bonifico.
- API open banking standardizzate: parità di performance obbligatoria con ostacoli esplicitamente vietati.
- Allineamento formale con eIDAS 2.0: FEQ e credenziali del Wallet EUDI riconosciute come metodi validi di SCA.
- Responsabilità per frodi da impersonificazione del PSP: il PSP è responsabile quando il cliente viene truffato tramite impersonificazione del PSP.
PSD2 vs. PSD3/PSR: i cambiamenti operativi
La tabella seguente mostra i cambiamenti operativi più rilevanti per le organizzazioni che gestiscono autenticazione digitale, workflow di pagamento e infrastrutture di identità:
L’effetto complessivo è un carico di compliance significativamente più elevato per i PSP e i loro partner tecnologici, con una responsabilità ampliata lungo tutta la catena di delega. Per i fornitori di servizi SCA, inclusi QTSP, provider IAM e operatori wallet, PSD3/PSR rappresenta un evento normativo diretto, non secondario.
L’evoluzione della SCA: dalle password a un’autenticazione resistente al phishing
La Strong Customer Authentication nel PSR mantiene il principio dei due fattori, almeno due tra conoscenza, possesso e inerzia, ma alza significativamente il livello di ciò che ciascun fattore deve garantire.
Il problema centrale che il PSR risolve: l’OTP non è più sufficiente
Sotto PSD2, la maggior parte delle istituzioni soddisfaceva la SCA con una password (conoscenza) più un OTP via SMS (possesso). Questa combinazione si è dimostrata profondamente vulnerabile. L’intercettazione degli SMS, le frodi SIM-swap e la cattura degli OTP tramite malware hanno reso la SCA basata su SMS un vettore di attacco primario. Il PSR risponde aumentando il livello qualitativo richiesto ai fattori di autenticazione e formalizzando un approccio basato sul risultato: i PSP che dimostrano tassi di frode costantemente bassi, attraverso una robusta Transaction Risk Analysis (TRA), otterranno accesso a esenzioni più ampie. Tuttavia, anche la soglia per dimostrare tali bassi livelli di frode è stata innalzata.
Biometria comportamentale come fattore SCA formalizzato
Il PSR formalizza un’espansione significativa di ciò che costituisce un fattore di inerzia valido. La biometria comportamentale, inclusi i pattern di digitazione, le dinamiche di uso del dispositivo e i segnali di comportamento nella navigazione, può ora essere formalmente combinata con la biometria fisiologica per costituire un secondo fattore valido. Questo apre la strada a una SCA completamente priva di attrito per le operazioni a basso rischio, dove un’autenticazione adattiva basata sul rischio può verificare l’utente in modo silenzioso, senza alcuna azione esplicita.
SCA delegata: innovazione consentita, responsabilità mantenuta
Il PSR consente esplicitamente la Delegated Authentication (DA): un PSP può delegare la SCA a una terza parte, come un operatore di wallet digitale, un gateway di pagamento o un fornitore di servizi fiduciari. Questo rappresenta un importante abilitatore per l’embedded finance e per l’innovazione nell’open banking. Tuttavia, il PSR classifica la delega come outsourcing, attivando la piena applicazione delle linee guida EBA sull’outsourcing e dei requisiti di rischio ICT previsti dal DORA. Il PSP delegante mantiene la piena responsabilità per i fallimenti della SCA.
La convergenza che definisce il decennio: PSD3, eIDAS 2.0 e AMLR
Come abbiamo scritto nelle nostre previsioni per il 2026, lo sviluppo più rilevante nel digital trust europeo non è una singola normativa, ma la convergenza di tre framework attorno a un’infrastruttura di identità condivisa:
PSD3/PSR: l’autenticazione deve essere forte, delegata con attenzione e resistente al phishing
Gli obblighi di SCA diventano direttamente applicabili tramite il PSR alla fine del 2026. La qualità dei fattori di autenticazione, la responsabilità nella delega e i requisiti di monitoraggio delle frodi stabiliscono un nuovo livello base per ogni PSP operante nell’UE.
eIDAS 2.0: l’EUDI Wallet diventa uno strumento SCA di primo livello
Ai sensi dell’articolo 5f di eIDAS 2.0, entro dicembre 2027 le istituzioni finanziarie devono accettare l’EUDI Wallet come metodo di autenticazione valido. Questo non è uno scenario futuro: è un obbligo vincolante con una scadenza precisa, anche se rimangono alcune aree da definire, poiché la formulazione eIDAS (strong user authentication) è diversa e meno dettagliata rispetto a quella richiesta dalle normative sui pagamenti/finanza. Le credenziali basate su wallet, emesse da QTSP e verificate rispetto ai livelli di assurance eIDAS, soddisfano contemporaneamente i requisiti di possesso e inerzia della SCA previsti dal PSR, consentendo inoltre la disclosure selettiva degli attributi di identità e riducendo l’esposizione dei dati.
AMLR: la stessa identità che esegue il KYC può eseguire la SCA
Quando l’AMLR entrerà in applicazione da luglio 2027, la sovrapposizione normativa diventerà operativamente decisiva: un’istituzione che accetta una credenziale del Wallet EUDI per il KYC ai sensi dell’articolo 22 AMLR soddisfa contemporaneamente il requisito SCA del PSR per la stessa interazione con il cliente. Questa è la convergenza che rende gli investimenti infrastrutturali strategici e non semplicemente orientati alla compliance. Una singola identità qualificata, verificata secondo gli standard ETSI TS 119 461 v2.1.1, può fungere da ancora di fiducia per KYC, SCA e firma di documenti regolamentati all’interno dello stesso flusso.
La timeline legislativa: agire prima dell’applicazione
Il periodo 2026–2027 rappresenta la finestra operativa di preparazione. Le decisioni architetturali prese ora determineranno la postura di compliance quando gli obblighi diventeranno applicabili:
Nota pratica sulla distinzione PSR/PSD3: il PSR contiene la maggior parte delle regole operative, incluse SCA, frodi, trasparenza e open banking, ed entra in vigore direttamente 20 giorni dopo la pubblicazione, senza recepimento nazionale. PSD3 disciplina invece le licenze e la supervisione degli istituti di pagamento e richiede un periodo di recepimento di 18 mesi. Gli obblighi principali su SCA e responsabilità per frodi saranno quindi applicabili prima che le norme nazionali PSD3 siano pienamente in vigore.
Come Namirial risponde a PSD3/PSR: una piattaforma completa di autenticazione
Namirial è un Qualified Trust Service Provider (QTSP) ai sensi di eIDAS, attivo in più mercati europei tramite Namirial S.p.A. (Italia) e Uanataca (Spagna). La nostra piattaforma copre l’intero stack SCA richiesto da PSD3/PSR: infrastruttura EUDI Wallet, firma basata su certificati qualificati, integrazione eID federata e archiviazione conforme qualificata.
Namirial Wallet: SCA tramite EUDI Wallet, pronta prima della scadenza di dicembre 2027
La nostra piattaforma Wallet, composta da Wallet Gateway (orchestrazione dei protocolli), Wallet App (gestione delle credenziali lato utente) e Wallet Studio (gestione degli issuer), consente alle organizzazioni di integrare le credenziali dell’EUDI Wallet come strumenti SCA sia sotto PSR sia sotto eIDAS 2.0 art. 5f. Namirial è un partecipante attivo nei Large Scale Pilots dell’EUDI Wallet attraverso il consorzio Potential, con esperienza nei servizi governativi, bancari, telecomunicazioni ed e-signature. È in sviluppo un’offerta Wallet-as-a-Service (WaaS) per le istituzioni che necessitano di un’integrazione rapida senza costruire infrastruttura wallet da zero.
FEQ tramite Namirial Sign Enterprise: firma dei mandati e autenticazione dei pagamenti ad alto valore
Le Firme Elettroniche Qualificate, emesse dall’infrastruttura multi-QTSP di Namirial in Italia, Spagna e Francia, forniscono autenticazione basata su certificati che supera la maggior parte delle implementazioni SCA della PSD2. Sotto il PSR, l’autenticazione basata su FEQ è direttamente applicabile per configurazione di mandati, autorizzazioni SEPA e flussi di onboarding regolamentati dove è richiesta certezza dell’identità.
I certificati “usa e getta” (single-use), validi 60 minuti e associati a una specifica transazione, consentono la firma FEQ ad alta sicurezza senza necessità di conservare certificati permanenti. Questo rende la FEQ scalabile per flussi di pagamento in cui è richiesta autenticazione forte per transazione e non per sessione. L’architettura multi-QTSP, che comprende Namirial e Uanataca, garantisce anche resilienza geografica e continuità operativa secondo DORA: se un QTSP non è disponibile, i flussi SCA possono essere reindirizzati senza interruzioni.
Namirial Archive: evidenze di compliance SCA a prova di audit
Le regole PSR sulla responsabilità per frodi richiedono ai PSP di conservare prove robuste e a prova di manomissione che la SCA sia stata applicata correttamente per ogni transazione. Namirial Archive fornisce conservazione qualificata a lungo termine (QPRES, conforme all’eArchiving eIDAS), certificazione NF 461 in Francia (AFNOR) e qualifica SAE QC2 in Italia (ACN). Eventi di autenticazione, certificati di firma, log delle transazioni e registrazioni di verifica dell’identità vengono conservati con piena validità legale per il periodo richiesto dalle autorità di vigilanza nazionali.
Soluzioni Namirial mappate ai requisiti SCA del PSR:
Conclusione: la SCA è ora un business, non solo un requisito di compliance
Il nostro Regulatory Observatory ha identificato la SCA sotto PSD3/PSR come una “nuova opportunità positiva di business”, in particolare nel segmento Keyless/IAM. Confermiamo questa valutazione. L’estensione della SCA, la formalizzazione dell’autenticazione delegata e l’allineamento con l’EUDI Wallet creano un vero mercato per un’autenticazione resistente al phishing, di livello FIDO2 e nativa per wallet a livello dei pagamenti, e questa è esattamente l’infrastruttura che Namirial ha costruito.
Il periodo 2026–2027 non è un orizzonte di pianificazione. È la finestra operativa per prendere decisioni infrastrutturali che devono essere prese ora. Le istituzioni che selezionano partner di autenticazione allineati simultaneamente a PSR, DORA, eIDAS 2.0 e AMLR non si limiteranno a soddisfare gli obblighi normativi: costruiranno l’infrastruttura di identità e pagamento che sosterrà il prossimo decennio della finanza digitale affidabile.
Namirial è pronta a supportare questa transizione: come provider tecnologico per l’EUDI Wallet, come QTSP multi-mercato per SCA basata su FEQ e come partner ICT conforme a DORA lungo l’intero ciclo di autenticazione dei pagamenti.
Contenuti correlati su namirial.com
- Previsioni Namirial 2026: pagamenti, SCA e convergenza del digital trust
- Trasformare la compliance in opportunità: l’EUDI Wallet nei servizi finanziari
- Da AMLR a eIDAS 2.0: compliance in KYC e onboarding
- AML-KYC: lo tsunami in arrivo nel 2026-2027
- Piattaforma Namirial Wallet: servizi di identità digitale e trust di nuova generazione
